我们的逻辑是这样的。

1.调用 wx.login() 获取 临时登录凭证code ，并回传到开发者服务器。

2.调用 auth.code2Session 接口，换取 用户唯一标识 OpenID 、 用户在微信开放平台帐号下的唯一标识UnionID（若当前小程序已绑定到微信开放平台帐号） 和 会话密钥 session_key。

3.通过 bindgetphonenumber 事件回调获取到微信服务器返回的加密数据， 然后在第三方服务端结合 session_key 以及 app_id 进行解密获取手机号。

然后发现被爆了，在同一个设备上。